本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用自動金鑰輪換
根據預設,當您為 KMS 金鑰啟用自動金鑰輪換時, 每年都會產生 KMS 金鑰 AWS KMS 的新密碼編譯材料。您也可以指定自訂rotation-period來定義啟用自動金鑰輪換後的天數, AWS KMS 這會輪換您的金鑰材料,以及之後每次自動輪換之間的天數。
自動金鑰輪換有下列好處:
您可以在 AWS KMS 主控台或使用 EnableKeyRotation 操作來啟用自動金鑰輪換。若要啟用自動金鑰輪換,您需要 kms:EnableKeyRotation
許可。如需 AWS KMS 許可的詳細資訊,請參閱 許可參考。
-
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/kms
開啟 AWS Key Management Service (AWS KMS) 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。(您不能啟用或停用 AWS 受管金鑰的輪換。它們會每年自動輪換一次。)
-
選擇 KMS 金鑰的別名或金鑰 ID。
-
選擇 Key rotation (金鑰輪換) 標籤。
僅對稱加密 KMS 金鑰 (其含有 AWS KMS 產生的金鑰資料 (Origin (來源) 是 AWS_KMS)) (包括多區域對稱加密 KMS 金鑰) 的詳細資訊頁面會顯示 Key rotation (金鑰輪換) 索引標籤。
您無法自動輪換非對稱 KMS 金鑰、HMAC KMS 金鑰、含有匯入金鑰資料的 KMS 金鑰,或是位於自訂金鑰存放區中的 KMS 金鑰。但是,您可以手動進行輪換。
-
在自動金鑰輪換區段中,選擇編輯。
-
針對金鑰輪換,選取啟用。
注意
如果 KMS 金鑰已停用或待刪除, AWS KMS 不會輪換金鑰材料,而且您無法更新自動金鑰輪換狀態或輪換期間。啟用 KMS 金鑰或取消刪除,以更新自動金鑰輪換組態。如需詳細資訊,請參閱 金鑰輪換的運作方式 和 金鑰的 AWS KMS 金鑰狀態。
-
(選用) 輸入介於 90 到 2560 天的輪換期間。預設值為 365 天。如果您未指定自訂輪換期間, AWS KMS 會每年輪換金鑰材料。
您可以使用 kms:RotationPeriodInDays 條件索引鍵來限制主體在輪換期間可以指定的值。
-
選擇 Save (儲存)。
您可以使用 AWS Key Management Service (AWS KMS) API 來啟用自動金鑰輪換,並檢視任何客戶受管金鑰的目前輪換狀態。以下範例使用 AWS Command Line Interface
(AWS CLI)
EnableKeyRotation 操作會啟用指定 KMS 金鑰的自動金鑰輪換。若要識別此操作中的 KMS 金鑰,請使用其金鑰 ID 或金鑰 ARN。依預設,客戶受管金鑰會停用金鑰輪換。
您可以使用 kms:RotationPeriodInDays 條件索引鍵來限制主體可以為EnableKeyRotation
請求的 RotationPeriodInDays
參數指定的值。
下列範例會在指定的對稱加密 KMS 金鑰上啟用金鑰輪換,輪換期間為 180 天,並使用 GetKeyRotationStatus 操作來查看結果。
$
aws kms enable-key-rotation \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --rotation-period-in-days180
$
aws kms get-key-rotation-status --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyRotationEnabled": true, "RotationPeriodInDays": 180, "NextRotationDate": "2024-02-14T18:14:33.587000+00:00" }